NIS2-Gesetz: Unternehmen im Krisencheck

Das neue NIS2-Gesetz, welches am 17. Oktober in Kraft tritt, gilt für rund 30.000 Unternehmen in Deutschland verpflichtend, die mehr als 50 Mitarbeiter und 10 Mio. € Jahresumsatz generieren sowie in kritischen Branchen agieren. Das Gesetz soll Firmen resilienter gegen IT-Angriffe machen und vor Hackerangriffen schützen. Laut der Agentur Scrivo Communications sollte jedoch jedes Unternehmen mit mehr als 10 Mitarbeitern das Gesetz als Ausgangspunkt nehmen, gleichzeitig mit der IT die Kommunikationsabläufe anzupassen und ebenfalls die Kommunikation bei IT-Ernstfällen auf den Prüfstand zu stellen.

„Jedes Unternehmen sollte einen NIS2-Check machen. Gerade mittelgroße Unternehmen mit 10 bis 50 Mitarbeitern, die knapp an den Anforderungen vorbeischrammen oder in einem anderen Sektor tätig sind, dürfen das Thema nicht abhaken, wenn der Check ergibt, dass sie nicht betroffen sind. Sie fallen dann zwar nicht unter das Gesetz. Vor Cyberangriffen und IT-Ausfällen gefeit sind sie dadurch jedoch nicht. Sie sollten ebenso ihre IT-Pflichten erfüllen und ihre Kommunikation für einen möglichen Ernstfall vorbereiten“, sagt Kai Oppel, Inhaber von Scrivo Communications.

Gesetzliche Meldepflicht an BSI

Lernen können Unternehmen aus den jüngsten Vorfällen um gehackte Unternehmen oder das missglückte Sicherheitsupdate und entsprechende Folgen, heißt es von Scrivo. Zusätzlich sollte Kommunikation nicht auf die gesetzlichen Vorgaben reduziert werden. Ein Beispiel ist die strenge Meldepflicht, die ein zentrales Element der Richtlinie und des Gesetzes ist. Das neue dreistufige Meldesystem für Cybersicherheitsvorfälle bezieht sich auf die gesetzlichen Vorgaben. Die Erstmeldung muss binnen 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingereicht werden. Nach 72 Stunden muss ein Update erfolgen, um den gesetzlichen Vorgaben zu entsprechen.

„Unabhängig vom Gesetz lautet die Frage nicht, ob ein Unternehmen früher oder später Opfer eines Hackerangriffs wird, sondern wann. Unternehmen müssen sich vorbereiten und die Unternehmenskommunikation von Anbeginn in den Krisenstab einbinden. Im Schadenfall können sie schnell, transparent und klar nach Innen und Außen kommunizieren”, sagt Oppel. Krisensimulationen und -trainings sollen im Ernstfall helfen, ebenso wie Krisen-Playbooks und unternehmensweite Kommunikationsrichtlinien.

Vermeidbare Kommunikationsfehler

Im Einklang mit NIS2 nennt Scrivo fünf Problemfelder in der Kommunikation, die Unternehmen im Falle möglicher Cyberangriffe beachten sollten:

1. Unterschätzung der Kommunikationsnotwendigkeit: Viele Unternehmen sehen Cybersicherheitsvorfälle hauptsächlich als technische Probleme. Scrivo warnt davor, dass ein IT-Vorfall erhebliche Auswirkungen auf das Vertrauen und die Wahrnehmung durch Kunden, Partner und die Öffentlichkeit haben kann.
2. Planung der Krisenkommunikation: Es fehle oft an einer detaillierten Krisenkommunikationsstrategie. Diese muss klare Protokolle für die interne und externe Kommunikation im Falle eines Vorfalls enthalten. Ohne eine solche Planung wirken Unternehmen in der Krise unkoordiniert und unvorbereitet.
3. Transparenz und Vertrauen: In einer Krise sei Transparenz entscheidend. Kunden und Partner erwarten schnelle und offene Kommunikation. Unternehmen, die nicht zeitnah und ehrlich informieren, riskieren einen Verlust des Vertrauens und langfristigen Reputationsschaden.
4. Rechtliche und regulatorische Anforderungen: Neben der internen und externen Kommunikation gibt es oft gesetzliche Verpflichtungen zur Meldung von Vorfällen. Unternehmen müssen sicherstellen, dass sie diese Anforderungen erfüllen und gleichzeitig ihre Kommunikationsstrategie anpassen. Bei Nichteinhaltung drohen Sanktionen.
5. Schulungen und Übungen: Viele Unternehmen versäumen es nach Bekunden von Scrivo, ihre Mitarbeiter auf Krisenszenarien vorzubereiten. Dabei helfen regelmäßige Schulungen und Übungen zur Krisenkommunikation, das Team auf einen echten Vorfall vorzubereiten und die Reaktionszeit zu verkürzen.